“Lo sentimos profundamente”, leen este fin de semana todos los principales diarios australianos en mayúsculas. Sender es la empresa de telecomunicaciones Optus, que se disculpó por una filtración de datos que dejó en la calle información sensible a la privacidad de 9,8 millones de clientes. Ha sido llamada la mayor violación de datos en la historia de Australia.
El drama comenzó hace más de una semana. La segunda compañía de telecomunicaciones más grande de Australia notó movimientos sospechosos en la red y advirtió a los clientes que se habían robado datos como nombres, fechas de nacimiento, direcciones, direcciones de correo electrónico y números de teléfono de clientes existentes y antiguos. Casi tres millones de personas son especialmente vulnerables al robo de identidad debido a que también se han filtrado los números de su licencia de conducir y pasaporte.
Unos días después, los datos de diez mil clientes se pusieron a la venta en el ‘web oscura‘. Un hacker autoproclamado exigió un rescate de $ 1 millón. No mucho después, el hacker cambió de opinión y se disculpó. Los datos se eliminaron nuevamente, pero el daño ya está hecho. Los datos han sido copiados y aún circulan en la web. El viernes pasado, la policía australiana anunció una operación especial para proteger a las víctimas. El FBI también está involucrado.
Información deficiente
Casi el 40 por ciento de la población australiana puede ser víctima de la violación de datos. Provoca un caos enorme. Hasta ahora, la ayuda ha sido deficiente y descoordinada, lo que ha dejado a las víctimas sintiéndose abandonadas a su suerte. Más de una semana después de que se anunciara la noticia, ni mucho menos se ha informado a todos los clientes afectados. “Tuve que leer en el periódico que hubo una violación de datos. Y todavía no he sabido nada de Optus”, dijo Charo Devery (69). Ha estado tratando de cambiar todas sus contraseñas durante días y tratando de cambiar su número de licencia de conducir.
Devery es un empresario y se hace llamar ‘experto en tecnología‘. Pero eso no se aplica a todos los clientes engañados. “Tengo amigos que me llaman en estado de pánico porque no saben qué hacer. Intento ayudarlos, pero consume mucho tiempo”, dice.
Hay mucha especulación sobre cómo pudo haber sucedido esto y quién está detrás de esto. La empresa y la policía aún no han confirmado nada. Poco después de los primeros informes de la filtración, la directora ejecutiva Kelly Bayer Rosmarin pasó por alto y se disculpó en una emotiva conferencia de prensa. “Este fue un ataque avanzado. No puedo decir más que eso, excepto que lo sentimos mucho”, dijo.
Mal asegurado
Pero cada vez hay más pruebas de que los datos estaban mal protegidos. Parece que la compañía ha dejado abierta de par en par la puerta trasera digital. Se cree que es una API (interfaz de programación de aplicaciones) vulnerable, que se utiliza para intercambiar datos y proporcionar acceso a los datos de millones de australianos.
Claire O’Neil, ministra de ciberseguridad, ha arremetido contra la empresa de telecomunicaciones. “Este no fue un ataque avanzado. Me preocupa mucho que un hack bastante simple fuera posible en un importante proveedor de telecomunicaciones en nuestro país”. ella le dijo a la emisora pública australiana A B C.
Los expertos en ciberseguridad están de acuerdo. “Si el pirata informático obtuvo la información a través de una API no segura, el robo habría sido muy simple”. dice Alastair MacGibbon de la firma de seguridad CyberCX al periódico La edad. De hecho, sería tan fácil solicitar los datos que el robo ni siquiera se considera oficialmente un hack.
Daño reputacional
El hecho de que los datos aparentemente estuvieran disponibles causó un enorme daño a la reputación de la compañía de telecomunicaciones. No ayuda que la demanda de rescate fuera notablemente baja y puede indicar un hacker aficionado. Un millón de dólares estadounidenses es una de las cantidades más bajas jamás exigidas cuando se trata de robo de datos a gran escala. Se bromea en las redes sociales que el hacker dr. El mal es de la película Austin Powers, que no se da cuenta de que $ 1 millón no es mucho dinero en estos días. No está claro por qué el hacker cambió de opinión. Optus dice que no ha pagado un rescate.
La tormenta de críticas no solo está dirigida a la compañía de telecomunicaciones, las leyes y regulaciones de privacidad inadecuadas en Australia también están bajo escrutinio. La legislación de privacidad se remonta a 1988. Las multas para las empresas que manejan los datos de los clientes sin cuidado son muy bajas. “La multa máxima que podemos imponer por violar nuestras leyes de privacidad es de USD 2,2 millones. Eso es una gota en el océano para una gran empresa como Optus”, dijo el secretario de ciberseguridad O’Neil.
Multas más altas
Es por eso que los expertos creen que Australia debería introducir las mismas regulaciones que han estado vigentes en Europa durante mucho tiempo. Abogado Tony Song de la Universidad de Nueva Gales del Sur pide la introducción del “estándar de oro” de la Unión Europea para la protección de datos. “Las multas deberían ser mucho más altas, no solo para los delincuentes que roban los datos, sino también para las empresas que recopilan nuestros datos”, dice.
El secretario O’Neil admite que la legislación actual es inadecuada. “Probablemente estemos atrasados una década”, le dijo a ABC. Hace más de un año, se introdujo una nueva ley de ciberseguridad, pero no se aplica a las empresas de telecomunicaciones. El ministro quiere cambiar eso. “En ese momento, las empresas de telecomunicaciones dijeron que eran tan buenas en ciberseguridad que no teníamos que preocuparnos. Claramente ese no es el caso.”
El primer ministro Anthony Albanian ha expresado su apoyo a regulaciones más estrictas. „Este es un gran llamada de atención para los australianos”, dijo Albanian. Quiere que Optus pague los nuevos pasaportes y licencias de conducir de los clientes engañados. La compañía ya se ha comprometido a hacerlo.
Las víctimas, como Charo Devery, ahora están considerando emprender acciones legales contra la empresa. Además, Devery espera que el gobierno cumpla su promesa de proteger mejor a los ciudadanos. “Están haciendo mucho ruido ahora, porque eso les conviene políticamente. Todavía tengo que ver si realmente cambia algo”.
Una versión de este artículo también apareció en el periódico del 3 de octubre de 2022.